SADRŽAJ

UVOD

U današnjoj „vladavini“ informaconih tehnologija, informacija je postala lako dostupna, ali

u isto vreme i veoma ugrožena. Informacija je dobro koje, kao i druga vredna poslovna dobra ima
vrednost za organzaiju i potrebu da bude odgovarajuće zaštićena.
Danas, kada se gotovo kompletno poslovanje obavlja preko računarskih poslovnih sistema,
bezbednost informacija postaje veoma važna. Zbog pretnji iz raznih izvora, zaštita informacija je
neophodna.
U uslovima visoke konkurentnosti, pravovremena i prava informacija je novac, opstanak i prestiž
na tržištu. Podatak koji je ažuran, pravovremeno dostavljen do korisnika postaje informacija.
Sa aspekta bezbednosti inforamcije uočavamo tri dimenzije: bezbednost podataka, bezbednost
kanala distribucije podataka i bezbednost korišćenja informacije.
Pitanje o bezbednosti informacija dolaze i iznutra i spolja. Možemo ih podeliti u namerne i
slučajne. Namerne su osmišljene akcije fokusirane na informacije, a slučajne su neplanirani upadi
u sistem spolja i neadekvatno rukovanje informacijama od strane zaposlenih. Uprvaljanjem
rizicima upravljamo bezbednošću informacija.
O STANDARDU ISO 27001

Standard ISO 27001 ima za cilj obezbeđenje poverljivosti, integriteta i dostupnosti

informacija zainteresovanim i ovlašćenim stranama kroz postavljanje mehanizama – kontrola
zaštite informacija:
• poverljivost: informacija nije dostupna neovlašćenim osobama, organizacijama i
procesima, što se u velikom broju slučajeva stavlja u prvi plan;
• integritet: zaštita tačnosti i kompletnosti informacije;
• pristupačnost: omogućavanje pravovremene dostupnosti informacijama osobama sa
ovlašćenjem i u vremenu kada je to potrebno na mestu gde je predviđeno.
U pravcu ostvarenja bezbednosti informacija usvojen je standard ISO 27001. U standardu su
specifirani zahtevi koje organizacija treba da ispuni da bi zaštitila informacije. Ovaj standard je
primenjiv za sve tipove organizacija: profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili
velikoj.

ISO 27001 je usresređen na zaštitu poverljivosti, celovitosti i raspoloživosti podataka u

organizaciji. To se postiže prepoznavanjem koji se potencijalni problemi mogu dogoditi podacima
(tj. procena rizika), te definiše šta treba preduzeti da se takvi problemi spreče (tj. tretman ili obrada
rizika). Dakle, temeljna filozofija ISO 27001 se zasniva na upravljanju rizicima: prepoznavanju i
sistemskoj obradi rizika.

ISTORIJA STANDARDA

Prva verzija teksta ovog strandarda BS 7799 se usvaja 1995. godine, a 1998. godine dobija
svoju prvu zvaničnu reviziju. BSI nedugo po objavljivanju prvog, prateći brz razvoj interneta,
objavljuje i drugi deo standarda BS 7799.

Međunarodna organizacija za standardizaciju ISO prihvata ove standarde i u junu 2005. godine
objavljuju drugu verziju standarda koja se zvala ISO 17799 Informacione tehnologije – bezbednost
tehnike – Načela upravljanja bezbednošću informacija. Standard ISO 27001 se objavljuje u oktobru
2005. godine pod nazivom Informacione tehnologije – Sistemi upravljanja bezbednošću
informacija – Zahtevi. ISO / IEC 27001 Sistemi menadžmenta bezbednošću informacija –
sigurnosni standard (27001: 2015 objavljen 25. Sep 2013 i zamjenjuje ISO / IEC 27001: 2005).
Ovaj standard je objavljen od strane Međunarodne organizacije za standardizaciju (ISO) i
Međunarodne elektrotehničke komisije (IEC) pod zajedničim nazivom ISO/IEC 27001:2013 i
opisuje kako upravljati bezbednošću informacija u organizacijama. On predstavlja specifikacije za
sistem za upravljanje sigurnošću informacija (ISMS). Organizacije koje ispunjavaju standard mogu
biti sertifikvane od strane nezavisnog i akreditovane sertifikacionog tela uz uspešan završetak
procesa formalne revizije i ispunjenosti uslova. ISO/IEC 27001:2013, u punom nazivu,
Informacione tehnologije – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija
– Zahtevi (eng. Information technology – Security techniques – Information security management
systems – Requirements) je međunarodni standard koji daje zahteve za ISMS – Sisteme
Menadžmenta Bezbednošću Informacija.

Najnovija verzija ovog standarda je objavljena 2013. godine, te je sadašnji puni naziv ISO/IEC
27001:2013.
Standard ISO 27001 je značajan za sve oragnizacije koje se bave uslugama koje su povezane sa
Informacionim tehnologijama i imaju potrebu za očuvanjem poverljivosti informacija.

ZNAČAJNI TERMINI / DEFINICIJE STANDARDA ISO 27001

U daljem tekstu prikazani su termini i definicije koje se primenjuju u standardu ISO 270011:
• Imovina (asset)
Sve ono što ima vrednost za organizaciju.
[ISO/IEC 13335-1:2004]
• Raspoloživost (availability)
Svojstvo dostupnosti i upotrebljivosti na zahtev ovlašćenog entiteta.
[ISO/IEC 13335-1:2004]
• Poverljivost (confidentiality)
Svojstvo da informacija ne može biti dostupna ili vidljiva neovlašćenim osobama,
entitetima ili procesima.
[ISO/IEC 13335-1:2004]
• Bezbednost informacija (informacion security)
Očuvanje integriteta, poverljivosti i raspoloživosti informacija. Druga svojstva su
verodostojnost, pouzdanost, nadležnost i neporecivost.
[ISO/IEC 17799:2005]
• Događaj u vezi sa bezbednošću informacija (informacion security event)
Pojava u sistemu, usluzi ili stanju na mreži koja ukazuje na moguće narušavanje politike
bezbednosti informacija ili na otkazivanje zaštite ili situacija koja prethodno nije bila
poznata i koja se može odnositi na bezbednost.
[ISO/IEC TR 18044:2004]
• Incident narušavanja bezbednosti informacija (information security incident)
Jedan ili niz neočekivanih događaja u vezi sa bezbednošću informacija za koje postoje
znatni izgledi da će kompromitovati poslove aktivnosti i zapretiti bezbednosti informacija.
[ISO/IEC TR 18044:200]
• Sistem menadžmenta bezbednošću informacija (information security management system)
Deo ukupnog sistema menadžmenta, koji se zasniva na pristupu poslovnom riziku,
uspostavljanje, implementiranje, primenjivanje, praćenje, preispitivanje, održavanje i
poboljšavanje bezbednosti.
• Integritet (integrity)

1
Tatić,V., 2013: 8-10
 Svojstvo zaštite ispravnosti i kompletnosti imovine.
[ISO/IEC 13335-1:2004]
• Preostali rizik (residual risk)
Rizik koji ostaje nakon postupanja sa rizikom.
[ISO/IEC 13335-1:2004]
• Prihvatanje rizika (risk acceptance)
Odluka da se rizik prihvati.
[ISO/IEC Guide 73:2002]
• Analiza rizika (risk analysis)
Sistematsko korišćenje informacija da bi se identifikovali izvori i procenio rizik.
[ISO/IEC Guide 73:2002]
• Ocenjivanje rizika (risk assessment)
Sveobuhvatni proces analize i vrednovanje rizika.
[ISO/IEC Guide 73:2002]
• Menadžment rizikom (risk managemet)
Koordinisane aktivnosti usmeravanja i kontrolisanja u nekoj organizaciji u vezi sa rizicima.
[ISO/IEC Guide 73:2002]
• Postupanje sa rizikom (risk treatment)
Proces izbora i implementacije mera-kontrola kako bi se rizik modifikovao.
[ISO/IEC Guide 73:2002]
Napomena: U ovom standardu termin „kontrola“ se koristi kao sinonim za „mera“.
• Izjava o primenjivosti (statement of applicability)
Dokumentovana izjava koja opisuje ciljeve kontrola i kontrole koje su relevantne i
primenjive na ISM organizacije.

ZNACAJ SAMOG STANDARDA ISO 27001

Standard ISO 27001 primenjuje se u različitim područjima u cilju razlikovanja mogućih

procesa u organizaciji koji su povezani sa upravljanjem kontrole sigurnosti kao što su: politika
sigurnosti, sigurnost organizacije, kontrola i klasifikacija izvora, sigurnost osoblja, sigurnost
materijalnih dobara i životne sredine, operativno upravljanje i komunikacija, kontrola pristupa,
razvoj i održavanje raznih sistema upravljanja kontinuitetom poslovanja.

Koristi i prednosti primene i sertifikacije ISMS-a mogu se podeliti u dva dela:

• Zaštita i bezbednost informacija i know-how organizacije , kroz sistematski pristup za

identifikovanje i borbu protiv niza potencijalnih rizika kojima je organizacija izložena.
Upravljanje rizikom po bezbednost informacija, u mnogome se smanjuje verovatnoća
pojave situacija koje nisu predviđene.
 • Zaštita i bezbednost podataka i informacija klijenata sa kojima organizacija dolazi u kontakt
prilikom instaliranja opreme, izvođenja obuke, projektovanja i montaže itd. Posedovanjem
sertifikata o implementiranom ISMS po zahtevima standarda ISO 27001, organizacija
pruža klijentu dokaz da su njegove informacije i know-how bezbedni i zaštićeni od raznih
zloupotreba. Takav sistem predstavlja kompetetivnu prednost organizacije u odnosu na
konkurente.

Uvođenje sistema menadžmenta bezbednošću informacija uz ispunjavanje zahteva standarda

ISO 27001:2013 donosi brojne koristi organizaciji:

• sertifikat koji je najbolji dokaz da je ISMS usaglašen sa međunarodnim standardom ISO

27001:2013,
• dokaz da je ISMS usaglašen sa najboljom međunarodnom praksom u oblasti
bezbednosti informacija,
• usaglašenost sa zakonodavstvom,
• sistemsku zaštitu u oblasti informacione bezbednosti,
• smanjenje rizika od gubitka informacija (smanjenje rizika od povećanih troškova),
• odgovornost svih zaposlenih u organizaciji za bezbednost informacija,
• povećan ugled i poverenje kod zaposlenih, klijenata i poslovnih partnera,
• bolju marketinšku poziciju na tržištu,
• konkurentnost,
• veće ekonomske mogućnosti i finansijsku dobit.

Standardom su specificirani zahtevi za:

• uspostavljanje ISMS,
• implementaciju ISMS,
• primenu ISMS,
• praćenje ISMS,
• preispitivanje ISMS,
• održavanje ISMS,
• poboljšavanje ISMS.

TIPOVI INFORMACIJA NA KOJE SE ODNOSI ISMS

Sistem Menadžmenta Bezbednošću Informacija su pisane informacije, štampane informacije,

informacije u elektronskim formatima, informacije poslate poštom, informacije poslate
elektronskom poštom, foto, audio, video informacije – audiovizuelne informacije.

Dokumentovani ISMS – Sistem Menadžmenta Bezbednošću Informacija sastoji se od niza

dokumenata: Poslovnika bezbednosti informacija (Politika bezbednosti informacija), Procedura,
Instrukcija i Zapisa.
 PRETNJE I SIGURNOSNE MERE

Izvori pretnji po bezbednost informacija mogu biti interni ili eksterni i namerni ili
nenamerni. Najčešći incidenti informacione bezbednosti su prirodne nepogode (zemljotres,
poplava, požar, udar groma), zlonamerni napadi (malware), interni napadi (zloupotrebe),
nenamerne, nesvesne ljudske greške, kvarovi opreme i/ili instalacija informacionog sistema.

Sigurnosne mere koje će se implementirati su obično u formi pravila, procedura i tehničkih rešenaja
(npr. softvera i opreme). Međutim, u većini slučajeva organizacije već imaju sav potreban hardver
i softver, ali ih koriste na nesiguran način – zato se većina primene ISO 27001 odnosi na uspostavu
organizaciskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se sprečilo narušavanje
sigurnosti – bezbednosti informacija.

Budući da će takva primena rešenja – upravljanje mnogobrojnim pravilima, procedurama,

ljudstvom, sredstvima itd., narušiti postojeća pravila i politiku kuće, ISO opisuje kako uklopiti sve
te elemente u postojeći sistem upravljanja informacijskom bezbednošću (ISMS). Dakle,
upravljanje bezbednošću informacija se ne odnosi samo na IT sigurnost (tj. firewall, zaštitu od
virusa itd.) već i na upravljanje procesima, pravnu zaštitu, upravljanje ljudskim resursima, fizičku
zaštitu i slično.

SERTIFIKACIJA

Postoje dve vrste ISO 27001 sertifikata: (A) za organizacije i (B) za pojedince. Organizacije
se mogu sertifikovati da bi dokazale usklađenost sa svim obaveznim klauzulama standarda.
Pojedinci mogu izvršiti obuku i položiti ispit da bi dobili sertifikat. Da bi se sertifikovala
organizacija, mora se implementirati standard kako je navedeno, i potom proći sertifikacijski audit
od strane nezavisnog sertifikacionog tela.

Sertifikacijski audit se sprovodi kroz sledeće korake:

• Faza 1 (pregled dokumentacije) – auditori će pregledati svu dokumentaciju

• Faza 2 (glavni audit) – auditori će izvršiti audit na licu mesta kako bi proverili da li su sve
aktivnosti organizacije usklađene sa ISO 27001. (Nadzor – nakon izdavanja sertifikata,
tokom perioda važnosti od 3 godine, auditori će proveriti minimu još 2 puta da li
organizacija održava sistem upravljanja bezbednošću).
ZAKLJUČAK

Postoje 4 ključne poslovne prednosti koje organizacija može postići sa primenom ovog standarda:

1. Zadovoljavanje pravnih zahteva – postoji sve više zakona, propisa i ugovornih zahteva u
vezi informacijske sigurnosti, a dobra vest je da se većina može rešiti primenom ISO 27001
– ovaj standard pruža savršenu metodologiju za usklađivanje sa svima njima.

2. Ostvarivanje marketinške prednosti – ako organizacija dobije sertifikat, a njeni konkurenti

ne, to njoj daje prednost u očima kupaca koji su osetljivi na zaštitu svojih podataka.

3. Niži troškovi – temeljna filozofija ISO 27001 je sprečavanje sigurnosnih incidenata; a svaki
incident, mali ili veliki, košta – dakle, sprečavajući incidente organizacija će uštedeti dosta
novca.

4. Bolja organizacija – obično brzorastuće organizacije nemaju vremena da zastanu i definišu

svoje procese i procedure – a posledica toga je da zaposleni vrlo često ne znaju šta, kada i ko
treba učiniti. Primena ISO 27001 pomaže rešiti takvu situaciju jer podstiče organizacije da
napišu svoje osnovne procese (čak i one koji nisu u vezi sa bezbednošću), što im omogućava da
redukuju izgubljeno i optimizuju radno vreme zaposlenih.

Značajne su koristi koje model ISO 27001 za uređenje Sistema menadžmenta bezbednošću
informacija ostvaruje organizacijama koje se odluče da ga implementiraju, pre svega u smislu
poboljšavanja svojih organizacionih performansi. Izvesno je da ovaj model predstavlja najbolju
praksu u oblasti zaštite i bezbednosti informacija koja je pretočena u zahteve standarda. Primenom
ISO 27001 standarda i sertifikacijom takvog sistema, organizacije ostvaruju brojne dobiti.
LITERATURA

http://www.totalquality.rs/iso-27001.html

http://iso.org.rs/iso-27001/

http://imskonsalting.com/usluge/iso-27001

http://www.academia.edu/5693491/ISMS_-_IT_Security_Management_-
_Bezbednsot_Informcionih_sistema_-_skripta_-_srpski